【51CTO.com綜合報(bào)道】隨著技術(shù)的發(fā)展，病毒也在不斷進(jìn)步，信息化辦公企業(yè)正在與病毒制作者進(jìn)行實(shí)時(shí)的技術(shù)對(duì)抗。眾多病毒中，比較另企業(yè)頭疼的病毒就是ARP病毒。ARP病毒到底是怎么樣的一種病毒呢？它又會(huì)帶給企業(yè)哪些頭疼的問(wèn)題呢？如何有效解決ARP病毒對(duì)企業(yè)網(wǎng)絡(luò)安全帶來(lái)的危害？本文通過(guò)詳細(xì)分析，通過(guò)建立多層次病毒防護(hù)體系，并利用瑞星防毒墻，來(lái)阻斷ARP病毒在企業(yè)內(nèi)的傳播。

ARP病毒介紹

實(shí)際上，ARP病毒并不是某一種病毒的名稱，而是對(duì)利用ARP協(xié)議的漏洞進(jìn)行傳播的一類病毒的總稱。ARP病毒是一種入侵電腦的木馬病毒，對(duì)電腦用戶私密信息的威脅很大。ARP協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議，用于進(jìn)行把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種——路由欺騙和網(wǎng)關(guān)欺騙。

ARP病毒發(fā)作一般有以下幾種現(xiàn)象：

網(wǎng)絡(luò)時(shí)快時(shí)慢，極其不穩(wěn)定；

局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常，之后仍然不斷發(fā)生；

終端反復(fù)感染病毒，即使重做系統(tǒng)后，仍會(huì)感染病毒；

網(wǎng)上銀行、游戲及QQ賬號(hào)等出現(xiàn)丟失情況。

ARP病毒傳播方式

ARP病毒常見(jiàn)的傳播方式有以下幾種：

1. 終端訪問(wèn)互聯(lián)網(wǎng)，訪問(wèn)到惡意網(wǎng)址，利用終端安全漏洞，病毒體被下載到終端病毒運(yùn)行。具有ARP欺騙行為的病毒也可以利用此種方式被傳播，病毒名稱一般為Hack.ARPCheat。

2. 當(dāng)已經(jīng)有終端感染ARP病毒后，會(huì)自動(dòng)發(fā)出ARP攻擊數(shù)據(jù)包，把所有同網(wǎng)段其他終端與網(wǎng)關(guān)的訪問(wèn)數(shù)據(jù)劫持向自己，并在訪問(wèn)數(shù)據(jù)中嵌入惡意網(wǎng)址，常見(jiàn)是HTTP數(shù)據(jù)。終端將會(huì)受到惡意網(wǎng)站的攻擊，一旦攻擊成功，木馬病毒會(huì)被植入終端并感染。

3. 在已經(jīng)有終端感染ARP病毒后，會(huì)在劫持的數(shù)據(jù)中嵌入惡意代碼及病毒體文件下載鏈接，當(dāng)攻擊成功后，病毒體會(huì)直接被植入終端并感染。

圖1：ARP病毒傳播示意

ARP病毒防護(hù)解決方案

針對(duì)以上ARP病毒傳播行為分析可以看出，ARP病毒傳播的核心方式是從互聯(lián)網(wǎng)下載病毒體文件或利用惡意網(wǎng)址，以及利用U盤等媒介進(jìn)行傳播。

感染ARP病毒后，如果終端反復(fù)查殺出新的病毒，就說(shuō)明病毒體正不斷從互聯(lián)網(wǎng)被下載的情況存在。一般企業(yè)部署了網(wǎng)絡(luò)版殺毒軟件，對(duì)于U盤傳播的病毒有防護(hù)能力，但僅局限于對(duì)桌面操作系統(tǒng)的保護(hù)，無(wú)法從網(wǎng)絡(luò)層面過(guò)濾病毒。而網(wǎng)關(guān)防毒技術(shù)——防毒墻的推出恰恰是從網(wǎng)絡(luò)傳輸層面過(guò)濾病毒，防御病毒于企業(yè)網(wǎng)絡(luò)之外，可以更好地解決ARP病毒從互聯(lián)網(wǎng)傳播的難題。

圖2：瑞星防毒墻可以有效地保護(hù)企業(yè)網(wǎng)絡(luò)免遭ARP病毒的襲擊

建立多層次病毒防護(hù)體系

第一層次，終端操作系統(tǒng)部署殺毒軟件，防護(hù)直接接觸操作系統(tǒng)的病毒傳入終端，如通過(guò)U盤傳播；

第二層次，在網(wǎng)關(guān)部署防毒墻，使用透明橋模式即可，從網(wǎng)絡(luò)傳輸層過(guò)濾病毒，主動(dòng)防御病毒于企業(yè)網(wǎng)絡(luò)之外。病毒在網(wǎng)絡(luò)傳輸過(guò)程中不會(huì)是運(yùn)行的狀態(tài)，直接會(huì)被阻斷傳輸，也就不會(huì)存在病毒過(guò)濾失敗問(wèn)題，所以網(wǎng)關(guān)防毒有得天獨(dú)厚的優(yōu)勢(shì)。

防毒墻在ARP病毒防護(hù)中的應(yīng)用

防毒墻可以阻斷從互聯(lián)網(wǎng)傳入企業(yè)局域網(wǎng)的ARP病毒

防毒墻具有病毒過(guò)濾、惡意網(wǎng)址過(guò)濾兩大亮點(diǎn)功能，想利用這兩種方式傳播進(jìn)入企業(yè)局域網(wǎng)的ARP病毒將會(huì)被直接攔截在企業(yè)網(wǎng)絡(luò)之外。

瑞星防毒墻具有第八代反病毒引擎技術(shù)，可以有效過(guò)濾各種加殼的木馬等病毒文件。此外，瑞星防毒墻還無(wú)縫共享瑞星1.5億“云安全”用戶的成果，可以及時(shí)獲取惡意網(wǎng)址信息，及時(shí)阻斷病毒的傳播。

對(duì)于企業(yè)局域網(wǎng)中已經(jīng)存在的ARP病毒，防毒墻可以控制ARP病毒在企業(yè)內(nèi)部的傳播

第一步，控制傳播源：企業(yè)內(nèi)部計(jì)算機(jī)感染ARP病毒后，部署防毒墻不僅可以阻斷病毒體不斷從互聯(lián)網(wǎng)下載，還可以利用防毒墻的日志系統(tǒng)定位感染病毒的終端。當(dāng)未知病毒出現(xiàn)時(shí)，防毒墻仍可以可以利用控制指定文件類型的傳輸?shù)墓δ芸刂撇《倔w傳播。

第二步，消除局域網(wǎng)ARP欺騙影響：病毒體下載源控制住了，利用防毒墻的MAC地址管理功能可定位具有ARP欺騙行為的終端。利用交換機(jī)管理功能就可以對(duì)終端進(jìn)行局域網(wǎng)訪問(wèn)控制，此時(shí)企業(yè)網(wǎng)絡(luò)其他的終端仍可以正常訪問(wèn)網(wǎng)絡(luò)。

第三步，處置感染病毒的終端：網(wǎng)絡(luò)恢復(fù)正常了，接下來(lái)只需要對(duì)存在問(wèn)題的終端進(jìn)行處理。利用殺毒軟件對(duì)終端系統(tǒng)進(jìn)行全面殺毒，病毒被清除后再接入網(wǎng)絡(luò)。